SQL инъекция в aspWebCalendar
| Дата публикации: | 26.09.2004 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 3061 |
| Опасность: | Средняя |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Уязвимые версии: aspWebCalendar
Описание: Уязвимость обнаружена в aspWebCalendar. Удаленный пользователь может внедрить SQL команды. Удаленный пользователь может внедрить специально сформированные данные через '/calendar.asp?action=login' страницу, чтобы выполнить произвольные SQL команды на целевой системе. Пример (для поле username): " ' union select Cal_User_Password,1,1,1,1,1,1,1,1,1 from Cal_User where Cal_User_UserName = 'admin'-- "Поле 'eventid' в '/calendar.asp?action=eventdetail&eventid=' также уязвимо. URL производителя:http://www.fullrevolution.com/calendar_overview.asp Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. |
|
| Ссылки: | aspWebCalendar /aspWebAlbum: SQL injection |